Trojaner erwischt - isfmdl.dll werde ich nicht los |
||
---|---|---|
#0
| ||
15.01.2008, 22:13
...neu hier
Beiträge: 3 |
||
|
||
15.01.2008, 22:31
Ehrenmitglied
Beiträge: 1441 |
#2
Steffmann
Hinweis !!! http://board.protecus.de/t31653.htm --------------------------------------------------------- 1. http://www.virus-protect.org/artikel/tools/agentransack.html gib in Suche ein: Online Add-on VirusProtect 3.9 WinSecureAv VirusRanger im unteren linken Teil vom Fenster werden die gefundenen Dateien erscheinen poste, was erscheint hier -------- «« http://www.virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) Online Add-on in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) VirusProtect 3.9 in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) WinSecureAv in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) VirusRanger in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. -------- dann machen wir das im Handumdrehen sauber __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
17.01.2008, 20:44
...neu hier
Themenstarter Beiträge: 3 |
#3
Hallo Pinguin!
Hier die logfiles von regsearch: Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 17.01.2008 20:37:58 for strings: ; 'online add-on' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2012F73E-7427-4AD8-9E9D-6CBA6E0053D4}\InprocServer32] @="C:\\Programme\\Online Add-on\\isfmdl.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F2BADA0D-FD61-45EF-A994-64A073FD6613}\InprocServer32] @="C:\\Programme\\Online Add-on\\ictmdl.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run] "start"="C:\\Programme\\Online Add-on\\isfmntr.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IE Custom Tools] "UninstallString"="\"C:\\Programme\\Online Add-on\\ictun.exe\"" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IE Safety Features] "UninstallString"="\"C:\\Programme\\Online Add-on\\isfun.exe\"" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Information Center] "UninstallString"="\"C:\\Programme\\Online Add-on\\icun.exe\"" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dhlp\log] ; Contents of value: ; `º°MÈWÈ "\\DEVICE\\HARDDISKVOLUME1\\PROGRAMME\\ONLINE ADD-ON"=hex:60,ba,b0,4d,c8,57,c8,\ 01 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dhlp\log] ; Contents of value: ; `º°MÈWÈ "\\DEVICE\\HARDDISKVOLUME1\\PROGRAMME\\ONLINE ADD-ON"=hex:60,ba,b0,4d,c8,57,c8,\ 01 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dhlp\log] ; Contents of value: ; `º°MÈWÈ "\\DEVICE\\HARDDISKVOLUME1\\PROGRAMME\\ONLINE ADD-ON"=hex:60,ba,b0,4d,c8,57,c8,\ 01 [HKEY_CURRENT_USER\Software\Agent_EXE\Agent Ransack\RecentFileName] "4"="Online Add-on" "5"="Online Add-on VirusProtect 3.9 WinSecureAv VirusRanger" [HKEY_CURRENT_USER\Software\Online Add-on] [HKEY_CURRENT_USER\Software\Online Add-on] "Path"="C:\\Programme\\Online Add-on" ; End Of The Log... Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 17.01.2008 20:40:55 for strings: ; 'virusprotect 3.9' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{CFAFA83C-855B-4E3D-92B9-A587995B675A}\1.0\0\win32] @="C:\\Programme\\VirusProtect 3.9\\VirusProtect 3.9.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{CFAFA83C-855B-4E3D-92B9-A587995B675A}\1.0\HELPDIR] @="C:\\Programme\\VirusProtect 3.9\\" [HKEY_CURRENT_USER\Software\Agent_EXE\Agent Ransack\RecentFileName] "3"="VirusProtect 3.9" "5"="Online Add-on VirusProtect 3.9 WinSecureAv VirusRanger" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\VirusProtect 3.9] ; End Of The Log... Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 17.01.2008 20:42:09 for strings: ; 'winsecureav' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{D761645B-6B20-4698-AEE8-729981152A82}\1.0\0\win32] @="C:\\Programme\\WinSecureAv\\Tools\\sbiebho.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{D761645B-6B20-4698-AEE8-729981152A82}\1.0\HELPDIR] @="C:\\Programme\\WinSecureAv\\Tools\\" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{EA7522F6-87CF-411E-8A55-19EE4344B676}\1.0\0\win32] @="C:\\Programme\\WinSecureAv\\Tools\\pblock.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{EA7522F6-87CF-411E-8A55-19EE4344B676}\1.0\HELPDIR] @="C:\\Programme\\WinSecureAv\\Tools\\" [HKEY_LOCAL_MACHINE\SOFTWARE\ugac] "DomainName"="http://winsecureav.com" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dhlp\blocked] "\\DEVICE\\HARDDISKVOLUME1\\WINSECUREAV"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dhlp\blocked] "\\DEVICE\\HARDDISKVOLUME1\\WINSECUREAV"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dhlp\blocked] "\\DEVICE\\HARDDISKVOLUME1\\WINSECUREAV"=dword:00000000 [HKEY_CURRENT_USER\Software\Agent_EXE\Agent Ransack\RecentFileName] "1"="WinSecureAv" "5"="Online Add-on VirusProtect 3.9 WinSecureAv VirusRanger" [HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\\Programme\\WinSecureAv\\unins000.exe"="Setup/Uninstall" ; End Of The Log... Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 17.01.2008 20:43:19 for strings: ; 'virusranger' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dhlp\log] ; Contents of value: ; ð85ÍŸTÈ "\\DEVICE\\HARDDISKVOLUME1\\PROGRAMME\\VIRUSRANGER"=hex:f0,38,35,cd,9f,54,c8,\ 01 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dhlp\log] ; Contents of value: ; ð85ÍŸTÈ "\\DEVICE\\HARDDISKVOLUME1\\PROGRAMME\\VIRUSRANGER"=hex:f0,38,35,cd,9f,54,c8,\ 01 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dhlp\log] ; Contents of value: ; ð85ÍŸTÈ "\\DEVICE\\HARDDISKVOLUME1\\PROGRAMME\\VIRUSRANGER"=hex:f0,38,35,cd,9f,54,c8,\ 01 [HKEY_CURRENT_USER\Software\Agent_EXE\Agent Ransack\RecentFileName] "2"="VirusRanger" "5"="Online Add-on VirusProtect 3.9 WinSecureAv VirusRanger" ; End Of The Log... das war's erstmal. Wieder besten Dank von Steffen!! |
|
|
||
17.01.2008, 22:07
Ehrenmitglied
Beiträge: 1441 |
#4
Steffmann
1. Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. suche einen Dienst, namens: dhlp Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "dhlp" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der "dhlp" beim nächsten Systemstart erneut ausgeführt. Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " dhlp" läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt. -------------------------------- « Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat Registry::CFScript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen wende combofix noch mal an - tippe 1 poste den neuen Report «« neue Startseite gehe zur Systemsteuerung -- Internetoptionen -- auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen -- auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen -- Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein ----------- « scanne mit smitfraudfix - kannst du im normalmodus machen http://www.virus-protect.org/artikel/tools/smitfraudfix.html dann sollte wieder alles sauber sein __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
22.01.2008, 22:13
...neu hier
Themenstarter Beiträge: 3 |
#5
Hallo!
Es wurde leider kein "dhlp-Dienst" angezeit... Trotzdem hier das logfile von combofix ComboFix 08-01-23.1 - Familie Hofmann 2008-01-23 21:53:55.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.23 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Familie Hofmann\Desktop\ComboFix.exe [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . ((((((((((((((((((((((( Dateien erstellt von 2007-12-23 bis 2008-01-23 )))))))))))))))))))))))))))))) . 2008-01-17 20:37 . 2008-01-17 20:44 <DIR> d-------- C:\Programme\regsearch 2008-01-17 20:36 . 2008-01-17 20:36 340,591 --a------ C:\Programme\regsearch.zip 2008-01-17 20:14 . 2008-01-17 20:34 <DIR> d-------- C:\Programme\XP-Suche 2008-01-17 20:12 . 2008-01-17 20:12 637,509 --a------ C:\Programme\XP-Suche.zip 2008-01-15 22:59 . 2008-01-15 22:59 <DIR> d-------- C:\Programme\Avira 2008-01-15 22:54 . 2008-01-15 22:54 17,820,592 --a------ C:\Programme\antivir_workstation_win7u_de_h.exe 2008-01-15 21:58 . 2008-01-15 21:58 308 --a------ C:\Programme\datFind.zip 2008-01-15 21:55 . 2008-01-15 21:55 1,000 --a------ C:\Programme\datFind.bat 2008-01-15 21:49 . 2008-01-15 21:49 318,369 --a------ C:\Programme\HJT.zip 2008-01-15 21:36 . 2008-01-22 21:39 1,550,988 --a------ C:\Programme\ComboFix.exe 2008-01-15 21:36 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe 2008-01-15 21:34 . 2008-01-15 21:34 50,688 --a------ C:\Programme\ATF-Cleaner.exe 2008-01-15 21:17 . 2008-01-15 21:17 5,831,160 --a------ C:\Programme\rminstall.exe 2008-01-11 23:07 . 2008-01-11 23:17 <DIR> d-------- C:\Programme\Enigma Software Group 2008-01-11 22:30 . 2008-01-11 22:30 1,092 --a------ C:\WINDOWS\system32\tmp.reg 2008-01-11 22:29 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-01-11 22:29 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-01-11 22:29 . 2007-12-20 23:11 81,920 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-01-11 22:29 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-01-11 22:29 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-01-11 22:29 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-01-06 12:17 . 2008-01-06 12:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\iS3 2008-01-06 11:28 . 2004-10-07 13:39 1,060,864 --a------ C:\WINDOWS\system32\mfc71.dll 2008-01-06 11:28 . 2004-10-07 13:39 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll 2008-01-06 11:28 . 2004-10-07 13:39 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll 2008-01-06 11:28 . 2004-10-07 13:39 89,088 --a------ C:\WINDOWS\system32\atl71.dll 2008-01-06 11:28 . 2001-03-08 18:30 24,064 --a------ C:\WINDOWS\system32\msxml3a.dll 2008-01-03 14:04 . 2008-01-18 19:03 69 --a------ C:\WINDOWS\NeroDigital.ini 2008-01-03 13:47 . 2001-08-17 14:03 21,760 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys 2008-01-03 13:46 . 2001-08-17 13:53 3,328 --a------ C:\WINDOWS\system32\drivers\qv2kux.sys 2008-01-03 13:46 . 2001-08-17 13:53 3,328 --a--c--- C:\WINDOWS\system32\dllcache\qv2kux.sys 2008-01-03 12:35 . 2008-01-03 12:35 <DIR> d-------- C:\Programme\KODAK 2008-01-03 12:34 . 2008-01-03 12:35 <DIR> d-------- C:\Programme\CASIO 2007-12-28 20:13 . 2004-11-25 06:07 79,679 --a------ C:\WINDOWS\system32\E_FLMACE.DLL 2007-12-28 20:13 . 2003-05-21 03:27 64,000 --a------ C:\WINDOWS\system32\E_FBCBACE.DLL 2007-12-28 20:13 . 2004-09-10 21:12 49,152 --a------ C:\WINDOWS\system32\E_DCINST.DLL 2007-12-28 20:13 . 2000-06-07 02:01 34,304 --a------ C:\WINDOWS\system32\E_FBCHACE.DLL 2007-12-28 20:13 . 2001-08-17 14:00 24,832 --a------ C:\WINDOWS\system32\drivers\usbprint.sys 2007-12-28 20:13 . 2001-08-17 14:00 24,832 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys 2007-12-28 20:13 . 2001-08-17 13:53 13,824 --a------ C:\WINDOWS\system32\drivers\usbscan.sys 2007-12-28 20:13 . 2001-08-17 13:53 13,824 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys 2007-12-28 20:11 . 2007-12-28 20:17 <DIR> d-------- C:\Programme\epson 2007-12-28 20:11 . 2005-02-25 00:00 46,080 --a------ C:\WINDOWS\system32\escimgd.dll 2007-12-28 20:11 . 2005-02-25 00:00 29,696 --a------ C:\WINDOWS\system32\escwiad.dll 2007-12-28 20:11 . 2005-02-25 00:00 22,016 --a------ C:\WINDOWS\system32\esccmd.dll 2007-12-28 20:11 . 2007-12-28 20:11 27 --a------ C:\WINDOWS\CDE DX3800G.ini 2007-12-28 19:08 . 2007-12-28 19:09 <DIR> d--h-c--- C:\WINDOWS\$MSI30UninstallMSI30-KB884016$ 2007-12-28 17:36 . 2001-08-17 14:03 24,960 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys 2007-12-28 17:36 . 2001-08-17 14:03 24,960 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys 2007-12-27 18:52 . 2007-12-27 18:52 66,904 --a------ C:\WINDOWS\system32\NULL 2007-12-27 18:51 . 2007-12-27 18:51 316,640 --a------ C:\WINDOWS\WMSysPr9.prx 2007-12-27 18:38 . 2007-12-27 18:40 <DIR> d-------- C:\WINDOWS\system32\URTTemp 2007-12-27 18:36 . 2007-12-27 18:36 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero 2007-12-27 18:36 . 2007-03-06 18:42 430,080 --a------ C:\WINDOWS\system32\SIPPS_TAPI_Provider.tsp 2007-12-27 18:35 . 2005-02-01 11:25 344,064 --a------ C:\WINDOWS\system32\msvcr70.dll 2007-12-27 18:33 . 2007-12-27 18:34 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Marmiko Shared 2007-12-27 18:32 . 2007-12-27 18:33 <DIR> d-------- C:\Programme\T-Online 2007-12-27 18:32 . 2008-01-03 12:35 <DIR> d--h----- C:\Programme\InstallShield Installation Information 2007-12-27 18:31 . 2007-12-27 18:31 <DIR> d--hs---- C:\WINDOWS\ftpcache 2007-12-27 18:31 . 2007-12-28 20:22 <DIR> d-------- C:\Programme\Gemeinsame Dateien\InstallShield 2007-12-27 18:30 . 2007-12-27 18:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SWF Studio 2007-12-27 18:25 . 2007-12-27 18:25 <DIR> d-------- C:\WINDOWS\Profiles 2007-12-27 18:25 . 2007-12-27 18:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe 2007-12-26 19:25 . 2007-12-26 19:25 400 --a------ C:\WINDOWS\ODBC.INI 2007-12-26 19:24 . 2003-06-18 17:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll 2007-12-26 19:22 . 2007-12-26 19:22 <DIR> d-------- C:\Programme\Microsoft.NET 2007-12-26 19:20 . 2007-12-26 19:22 <DIR> d-------- C:\WINDOWS\SHELLNEW 2007-12-26 19:20 . 2007-12-26 19:20 <DIR> d-------- C:\Programme\Microsoft Works 2007-12-26 19:17 . 2007-12-26 19:17 <DIR> dr-h----- C:\MSOCache 2007-12-26 19:07 . 2007-12-26 19:07 <DIR> d-------- C:\NVIDIA 2007-12-26 19:04 . 2007-12-26 19:04 <DIR> d-------- C:\Programme\SystemRequirementsLab . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-26 15:47 --------- d--h--w C:\Programme\Uninstall Information 2007-12-26 15:37 --------- d-----w C:\Programme\microsoft frontpage 2007-12-26 15:33 --------- d-----w C:\Programme\Online-Dienste 2007-12-26 15:32 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap 2007-12-26 15:32 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste 2007-12-26 15:18 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines 2007-12-26 15:18 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC 2007-12-26 15:03 23,600 ----a-w C:\WINDOWS\system32\drivers\TVICHW32.SYS . ((((((((((((((((((((((((((((( snapshot@2008-01-15_21.40.29,33 ))))))))))))))))))))))))))))))))))))))))) . - 2008-01-15 20:36:49 241,664 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT + 2008-01-22 20:41:48 241,664 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT - 2008-01-15 20:36:49 12,288 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat + 2008-01-22 20:41:49 12,288 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat - 2008-01-15 20:36:49 241,664 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT + 2008-01-22 20:41:49 241,664 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT - 2008-01-15 20:36:49 12,288 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat + 2008-01-22 20:41:49 12,288 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat - 2008-01-15 20:36:50 1,122,304 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT + 2008-01-22 20:41:50 1,470,464 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT - 2008-01-15 20:36:50 12,288 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat + 2008-01-22 20:41:50 12,288 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat + 2007-08-09 12:04:05 40,768 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys + 2007-07-18 13:22:13 21,312 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys + 2008-01-15 22:12:19 61,632 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys + 2007-03-01 09:34:30 28,352 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys - 2007-12-27 18:02:54 64,796 ----a-w C:\WINDOWS\system32\perfc007.dat + 2008-01-15 21:36:12 64,796 ----a-w C:\WINDOWS\system32\perfc007.dat - 2007-12-27 18:02:54 53,744 ----a-w C:\WINDOWS\system32\perfc009.dat + 2008-01-15 21:36:12 53,744 ----a-w C:\WINDOWS\system32\perfc009.dat - 2007-12-27 18:02:54 394,830 ----a-w C:\WINDOWS\system32\perfh007.dat + 2008-01-15 21:36:12 394,830 ----a-w C:\WINDOWS\system32\perfh007.dat - 2007-12-27 18:02:54 383,390 ----a-w C:\WINDOWS\system32\perfh009.dat + 2008-01-15 21:36:12 383,390 ----a-w C:\WINDOWS\system32\perfh009.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2012F73E-7427-4AD8-9E9D-6CBA6E0053D4}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RegistryMechanic"="" [] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-15 23:12 249896] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-18 11:00 13312] "InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.exe" [2007-07-30 14:27 176128] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Photo Loader resident.lnk - C:\Programme\CASIO\Photo Loader\Plauto.exe [2008-01-03 12:34:37 217088] R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 14:22] R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04] R1 VIAPFD;VIAPFD;C:\WINDOWS\System32\Drivers\VIAPFD.SYS [2001-12-04 14:06] R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2007-01-09 17:16] S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2006-10-04 09:14] S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-10-09 15:03] S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 14:46] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] tapisrv REG_MULTI_SZ Tapisrv . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-23 21:56:37 Windows 5.1.2600 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-01-23 21:58:06 ComboFix-quarantined-files.txt 2008-01-23 20:57:54 ComboFix2.txt 2008-01-23 20:51:36 ComboFix3.txt 2008-01-15 20:41:00 hier noch das logfile vom smitfraud SmitFraudFix v2.274 Scan done at 22:08:44,74, 23.01.2008 Run from C:\Programme\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\CASIO\Photo Loader\Plauto.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\internet explorer\iexplore.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\cmd.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Familie Hofmann »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Familie Hofmann\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url FOUND ! C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\FAMILI~1\FAVORI~1 C:\DOKUME~1\FAMILI~1\FAVORI~1\Online Security Test.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» Desktop C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url FOUND ! C:\DOKUME~1\ALLUSE~1\Desktop\Security Troubleshooting.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» IEDFix !!!Attention, following keys are not inevitably infected!!! IEDFix.exe by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Rustock »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: Intel(R) PRO/100+ Management Adapter - Paketplaner-Miniport DNS Server Search Order: 192.168.2.1 HKLM\SYSTEM\CCS\Services\Tcpip\..\{35DFDF59-6B3A-4BBE-82B0-67618FD4B88D}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{35DFDF59-6B3A-4BBE-82B0-67618FD4B88D}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS2\Services\Tcpip\..\{35DFDF59-6B3A-4BBE-82B0-67618FD4B88D}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End Ich werde nun im abgesicherten Modus smitfraud abarbeiten... Danke erstmal. Gruß, Steffen smitfraud ist abgearbeitet: SmitFraudFix v2.274 Scan done at 22:21:16,47, 23.01.2008 Run from C:\Programme\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url Deleted C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url Deleted C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url Deleted C:\DOKUME~1\ALLUSE~1\Desktop\Security Troubleshooting.url Deleted C:\DOKUME~1\FAMILI~1\FAVORI~1\Online Security Test.url Deleted »»»»»»»»»»»»»»»»»»»»»»»» IEDFix IEDFix.exe by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{35DFDF59-6B3A-4BBE-82B0-67618FD4B88D}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{35DFDF59-6B3A-4BBE-82B0-67618FD4B88D}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS2\Services\Tcpip\..\{35DFDF59-6B3A-4BBE-82B0-67618FD4B88D}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End Kann es sein, dass die Performance meines Rechners unter der Geschichte etwas gelitten hat? Gruß, Steffen Dieser Beitrag wurde am 22.01.2008 um 22:41 Uhr von Steffmann editiert.
|
|
|
||
23.01.2008, 11:16
Ehrenmitglied
Beiträge: 1441 |
#6
Steffmann
«« wie steht es mit der performance ? Hohe Auslastung, wenn du surfst oder ein Programm anwendest ? « wende Comboscan an - poste die zwei Logs - main.txt + extra.txt http://www.virus-protect.org/artikel/tools/comboscan.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
mich hat so ein Mistvieh erwischt und ich vermute das Hauptproblem ist der "isfmdl.dll".
Hier das logfile von combofix:
ComboFix 08-01-15.4 - Familie Hofmann 2008-01-15 21:37:12.1 - NTFSx86
ausgeführt von:: C:\Programme\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\Familie Hofmann\Anwendungsdaten\install_en[1].exe
C:\Dokumente und Einstellungen\Familie Hofmann\ResErrors.log
C:\Programme\Helper
C:\Programme\Helper\turbosearchsite.dll
.
((((((((((((((((((((((( Dateien erstellt von 2007-12-15 bis 2008-01-15 ))))))))))))))))))))))))))))))
.
2008-01-15 21:36 . 2008-01-15 21:36 1,551,537 --a------ C:\Programme\ComboFix.exe
2008-01-15 21:36 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-15 21:34 . 2008-01-15 21:34 50,688 --a------ C:\Programme\ATF-Cleaner.exe
2008-01-15 21:17 . 2008-01-15 21:17 5,831,160 --a------ C:\Programme\rminstall.exe
2008-01-11 23:07 . 2008-01-11 23:17 <DIR> d-------- C:\Programme\Enigma Software Group
2008-01-11 22:37 . 2008-01-11 22:37 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\T-Online
2008-01-11 22:35 . 2007-12-26 16:29 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-01-11 22:35 . 2007-12-26 16:17 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-01-11 22:35 . 2007-12-26 16:17 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-01-11 22:35 . 2007-12-26 16:17 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-01-11 22:35 . 2007-12-26 16:17 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-01-11 22:35 . 2007-12-26 16:17 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-01-11 22:35 . 2007-12-26 16:17 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-01-11 22:30 . 2008-01-11 22:30 1,092 --a------ C:\WINDOWS\system32\tmp.reg
2008-01-11 22:29 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-01-11 22:29 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-01-11 22:29 . 2007-12-20 23:11 81,920 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-01-11 22:29 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-01-11 22:29 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-01-11 22:29 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-01-06 12:21 . 2008-01-06 12:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SITEguard
2008-01-06 12:17 . 2008-01-06 12:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\iS3
2008-01-06 12:17 . 2008-01-06 12:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\STOPzilla!
2008-01-06 11:34 . 2008-01-06 11:34 <DIR> d--hs---- C:\WinSecureAv
2008-01-06 11:30 . 2008-01-11 23:17 <DIR> d-------- C:\Programme\VirusRanger
2008-01-06 11:30 . 2008-01-06 11:31 <DIR> d-------- C:\Dokumente und Einstellungen\Familie Hofmann\Anwendungsdaten\WinSecureAv
2008-01-06 11:29 . 2008-01-06 11:29 46,592 --a------ C:\WINDOWS\system32\drivers\dhlp.sys
2008-01-06 11:28 . 2008-01-06 12:04 <DIR> d-------- C:\Programme\WinSecureAv
2008-01-06 11:28 . 2008-01-06 11:29 <DIR> d-------- C:\Programme\Gemeinsame Dateien\WinSecureAv
2008-01-06 11:28 . 2004-10-07 13:39 1,060,864 --a------ C:\WINDOWS\system32\mfc71.dll
2008-01-06 11:28 . 2004-10-07 13:39 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2008-01-06 11:28 . 2004-10-07 13:39 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2008-01-06 11:28 . 2004-10-07 13:39 89,088 --a------ C:\WINDOWS\system32\atl71.dll
2008-01-06 11:28 . 2001-03-08 18:30 24,064 --a------ C:\WINDOWS\system32\msxml3a.dll
2008-01-06 11:17 . 2008-01-11 23:18 <DIR> d-------- C:\Programme\VirusProtect 3.9
2008-01-06 11:17 . 2008-01-06 12:31 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-01-06 11:15 . 2008-01-15 20:55 <DIR> d-------- C:\Programme\Online Add-on
2008-01-03 14:04 . 2008-01-03 14:07 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-01-03 13:47 . 2001-08-17 14:03 21,760 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-01-03 13:46 . 2001-08-17 13:53 3,328 --a------ C:\WINDOWS\system32\drivers\qv2kux.sys
2008-01-03 13:46 . 2001-08-17 13:53 3,328 --a--c--- C:\WINDOWS\system32\dllcache\qv2kux.sys
2008-01-03 12:35 . 2008-01-03 12:35 <DIR> d-------- C:\Programme\KODAK
2008-01-03 12:34 . 2008-01-03 12:35 <DIR> d-------- C:\Programme\CASIO
2007-12-28 20:15 . 2007-12-28 20:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL
2007-12-28 20:13 . 2004-11-25 06:07 79,679 --a------ C:\WINDOWS\system32\E_FLMACE.DLL
2007-12-28 20:13 . 2003-05-21 03:27 64,000 --a------ C:\WINDOWS\system32\E_FBCBACE.DLL
2007-12-28 20:13 . 2004-09-10 21:12 49,152 --a------ C:\WINDOWS\system32\E_DCINST.DLL
2007-12-28 20:13 . 2000-06-07 02:01 34,304 --a------ C:\WINDOWS\system32\E_FBCHACE.DLL
2007-12-28 20:13 . 2001-08-17 14:00 24,832 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2007-12-28 20:13 . 2001-08-17 14:00 24,832 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2007-12-28 20:13 . 2001-08-17 13:53 13,824 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2007-12-28 20:13 . 2001-08-17 13:53 13,824 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2007-12-28 20:11 . 2007-12-28 20:17 <DIR> d-------- C:\Programme\epson
2007-12-28 20:11 . 2005-02-25 00:00 46,080 --a------ C:\WINDOWS\system32\escimgd.dll
2007-12-28 20:11 . 2005-02-25 00:00 29,696 --a------ C:\WINDOWS\system32\escwiad.dll
2007-12-28 20:11 . 2005-02-25 00:00 22,016 --a------ C:\WINDOWS\system32\esccmd.dll
2007-12-28 20:11 . 2007-12-28 20:11 27 --a------ C:\WINDOWS\CDE DX3800G.ini
2007-12-28 19:08 . 2007-12-28 19:09 <DIR> d--h-c--- C:\WINDOWS\$MSI30UninstallMSI30-KB884016$
2007-12-28 17:36 . 2001-08-17 14:03 24,960 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2007-12-28 17:36 . 2001-08-17 14:03 24,960 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
2007-12-27 18:52 . 2007-12-27 18:52 66,904 --a------ C:\WINDOWS\system32\NULL
2007-12-27 18:51 . 2007-12-27 18:51 316,640 --a------ C:\WINDOWS\WMSysPr9.prx
2007-12-27 18:38 . 2007-12-27 18:40 <DIR> d-------- C:\WINDOWS\system32\URTTemp
2007-12-27 18:36 . 2007-12-27 18:36 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero
2007-12-27 18:36 . 2007-03-06 18:42 430,080 --a------ C:\WINDOWS\system32\SIPPS_TAPI_Provider.tsp
2007-12-27 18:35 . 2007-12-27 18:35 <DIR> d-------- C:\Dokumente und Einstellungen\Familie Hofmann\Anwendungsdaten\T-Online
2007-12-27 18:35 . 2005-02-01 11:25 344,064 --a------ C:\WINDOWS\system32\msvcr70.dll
2007-12-27 18:34 . 2007-12-27 18:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online
2007-12-27 18:33 . 2007-12-27 18:34 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Marmiko Shared
2007-12-27 18:32 . 2007-12-27 18:33 <DIR> d-------- C:\Programme\T-Online
2007-12-27 18:32 . 2008-01-03 12:35 <DIR> d--h----- C:\Programme\InstallShield Installation Information
2007-12-27 18:31 . 2007-12-27 18:31 <DIR> d--hs---- C:\WINDOWS\ftpcache
2007-12-27 18:31 . 2007-12-28 20:22 <DIR> d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2007-12-27 18:30 . 2007-12-27 18:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SWF Studio
2007-12-27 18:25 . 2007-12-27 18:25 <DIR> d-------- C:\WINDOWS\Profiles
2007-12-27 18:25 . 2007-12-27 18:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2007-12-27 18:25 . 2007-12-27 18:25 <DIR> d-------- C:\Dokumente und Einstellungen\Familie Hofmann\Anwendungsdaten\InterTrust
2007-12-26 19:25 . 2007-12-26 19:25 400 --a------ C:\WINDOWS\ODBC.INI
2007-12-26 19:24 . 2003-06-18 17:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
2007-12-26 19:22 . 2007-12-26 19:22 <DIR> d-------- C:\Programme\Microsoft.NET
2007-12-26 19:20 . 2007-12-26 19:22 <DIR> d-------- C:\WINDOWS\SHELLNEW
2007-12-26 19:20 . 2007-12-26 19:20 <DIR> d-------- C:\Programme\Microsoft Works
2007-12-26 19:17 . 2007-12-26 19:17 <DIR> dr-h----- C:\MSOCache
2007-12-26 19:07 . 2007-12-26 19:07 <DIR> d-------- C:\NVIDIA
2007-12-26 19:04 . 2007-12-26 19:04 <DIR> d-------- C:\Programme\SystemRequirementsLab
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-29 16:55 13,312 --s-a-w C:\WINDOWS\system32\fsehfcu.dll
2007-12-26 15:37 --------- d-----w C:\Programme\microsoft frontpage
2007-12-26 15:33 --------- d-----w C:\Programme\Online-Dienste
2007-12-26 15:32 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2007-12-26 15:32 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2007-12-26 15:18 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-12-26 15:18 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-12-26 15:03 23,600 ----a-w C:\WINDOWS\system32\drivers\TVICHW32.SYS
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2012F73E-7427-4AD8-9E9D-6CBA6E0053D4}]
2008-01-15 20:55 12288 --a------ C:\Programme\Online Add-on\isfmdl.dll
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{F2BADA0D-FD61-45EF-A994-64A073FD6613}"= C:\Programme\Online Add-on\ictmdl.dll [2008-01-06 11:15 73728]
[HKEY_CLASSES_ROOT\clsid\{f2bada0d-fd61-45ef-a994-64a073fd6613}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RegistryMechanic"="" []
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-18 11:00 13312]
"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.exe" [2007-07-30 14:27 176128]
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Photo Loader resident.lnk - C:\Programme\CASIO\Photo Loader\Plauto.exe [2008-01-03 12:34:37]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"start"= C:\Programme\Online Add-on\isfmntr.exe
R0 dhlp;dhlp;C:\WINDOWS\System32\Drivers\dhlp.sys [2008-01-06 11:29]
R1 VIAPFD;VIAPFD;C:\WINDOWS\System32\Drivers\VIAPFD.SYS [2001-12-04 14:06]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2007-01-09 17:16]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2006-10-04 09:14]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-10-09 15:03]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 14:46]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv REG_MULTI_SZ Tapisrv
*Newly Created Service* - PROCEXP90
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-15 21:40:03
Windows 5.1.2600 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2008-01-15 21:40:59
ComboFix-quarantined-files.txt 2008-01-15 20:40:44
und nun Hijack:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:52:33, on 15.01.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Online Add-on\isfmntr.exe
C:\Programme\Online Add-on\isfmm.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Familie Hofmann\Eigene Dateien\ich\HJT.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: (no name) - {2012F73E-7427-4AD8-9E9D-6CBA6E0053D4} - C:\Programme\Online Add-on\isfmdl.dll
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Programme\Online Add-on\isfmntr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.updatesgate.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.updatesgate.com/redirect.php (file missing)
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
--
End of file - 2257 bytes
und nun noch von datfind:
15.01.2008 21:40 227 system.ini
15.01.2008 20:59 1.057 IE4 Error Log.txt
15.01.2008 20:55 0 0.log
15.01.2008 20:55 123.385 WindowsUpdate.log
15.01.2008 20:55 50 wiaservc.log
15.01.2008 20:55 159 wiadebug.log
15.01.2008 20:55 2.048 bootstat.dat
11.01.2008 23:21 282.678 ntbtlog.txt
11.01.2008 23:13 13.868 SchedLgU.Txt
11.01.2008 20:45 237.184 setupapi.log
03.01.2008 14:07 69 NeroDigital.ini
30.12.2007 15:01 39.586 wmsetup.log
28.12.2007 20:12 114.867 EPSTPLOG.TXT
28.12.2007 20:12 31 EPSMTL32.TXT
28.12.2007 20:11 27 CDE DX3800G.ini
28.12.2007 20:11 1.115 epsswt_log.txt
28.12.2007 19:10 56.255 iis6.log
28.12.2007 19:10 17.737 comsetup.log
28.12.2007 19:10 8.981 ntdtcsetup.log
28.12.2007 19:10 12.984 tsoc.log
28.12.2007 19:10 1.393 imsins.log
28.12.2007 19:10 5.297 MSI30-KB884016.log
28.12.2007 19:10 1.277 ocmsn.log
28.12.2007 19:10 15.297 ocgen.log
28.12.2007 19:10 1.128 msgsocm.log
28.12.2007 19:10 17.719 FaxSetup.log
28.12.2007 19:10 12.004 msmqinst.log
27.12.2007 18:52 241 wmsetup10.log
27.12.2007 18:52 628 win.ini
27.12.2007 18:51 316.640 WMSysPr9.prx
26.12.2007 19:25 400 ODBC.INI
26.12.2007 19:00 355 WINNT32.LOG
26.12.2007 19:00 175.673 setupact.log
26.12.2007 18:57 2.757 svcpack.log
26.12.2007 16:47 820 OEWABLog.txt
26.12.2007 16:47 711.564 setuplog.txt
26.12.2007 16:45 8.192 REGLOCS.OLD
26.12.2007 16:43 4.438 imsins.BAK
26.12.2007 16:41 1.246 setuperr.log
26.12.2007 16:36 0 control.ini
26.12.2007 16:36 299.552 WMSysPrx.prx
26.12.2007 16:36 4.161 ODBCINST.INI
26.12.2007 16:35 240 Windows Update.log
26.12.2007 16:34 749 WindowsShell.Manifest
26.12.2007 16:31 1.060 sessmgr.setup.log
26.12.2007 16:30 36 vb.ini
26.12.2007 16:30 37 vbaddin.ini
26.12.2007 16:30 128 DtcInstall.log
26.12.2007 16:22 0 Sti_Trace.log
26.12.2007 16:18 1.348 regopt.log
18.08.2001 11:00 13.898 SET7.tmp
Danke für Tipps,
Steffen